Gestern wurde nicht nur eine schwerwiegende Sicherheitslücke in AMDs Zen 2 CPUs offengelegt, sondern auch ein sehr einfach zu verwendender Exploit für diese Lücke veröffentlicht. Durch die Ausnutzung dieser Sicherheitslücke können sensible Daten wie Passwörter aus anderen auf der selben CPU laufenden Prozessen und Virtuellen Maschinen ausgelesen werden. Damit ist diese Lücke insbesondere für Virtualisierungsumgebungen und andere Systeme, auf die unterschiedliche User zugreifen (z.B. Login-Knoten / Dialog-Server) kritisch.
Da die GWDG sowohl in der OpenStack-Umgebung (GWDG Cloud Server Dienst), wie auch in der VMware-Umgebung aktuell AMD Epyc CPUs mit Zen 2 Architektur einsetzt, haben wir noch am gestrigen Tag kurz nach Bekanntwerden der Lücke entsprechende Gegenmaßnahmen ergriffen, um unsere Umgebungen abzusichern.
Für die OpenStack-Umgebung wurde eine Zwischenlösung eingesetzt, die unter Verringerung der CPU-Leistung den Angriff unterbindet, bis das Microcode-Update von AMD in den nächsten Tagen eingespielt werden kann.
Für die VMware-Umgebung wurde das Microcode-Update von AMD eigenständig in die Systeme eingebracht und erfolgreich verifiziert, dass die Lücke nicht mehr ausnutzbar ist. Leider gibt es von VMware hier noch keine offiziellen Updates. Sobald diese verfügbar sind, werden wir diese einspielen.
In beiden Umgebungen kann die Attacke, wie veröffentlicht, nicht mehr ausgenutzt werden und der Exploit läuft ins Leere.
Auch im HPC Bereich haben wir alle Knoten mit Epyc Zen 2 Prozessoren des Scientific Compute Clusters und der NHR Systeme mit den Microcode-Updates ausgestattet.
Für eine anschauliche Erklärung der Lücke verweisen wir an dieser Stelle auf einen Blogpost von Cloudflare (Englisch):
https://blog.cloudflare.com/zenbleed-vulnerability/
Mehr technische Details der Sicherheitslücke finden Sie in:
der Originalveröffentlichung von Tavis Ormandy (Englisch):
https://lock.cmpxchg8b.com/zenbleed.html
sowie im Advisory von AMD (Englisch):
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html